Der EU Data Act kommt

Am 12. September 2025 tritt der EU Data Act in Kraft, ein Gesetz, das die Datenwirtschaft in der Europäischen Union neu gestalten soll. Für Unternehmen und Organisationen in Mecklenburg-Vorpommern, von kleinen und mittelständischen Betrieben (KMU) bis hin zu öffentlichen Einrichtungen, bringt dieser Rechtsakt weitreichende Veränderungen und neue Verpflichtungen mit sich. Dieser Artikel erklärt, was der Data Act ist, klärt die Begriffe Standard Contractual Clauses (SCC) und Model Contractual Terms (MCT) und beleuchtet die Auswirkungen auf Unternehmen in der Region.

Was ist der EU Data Act?

Der EU Data Act ist ein Gesetz, das den Zugang, die Nutzung und das Teilen von Daten regeln soll, die durch vernetzte Produkte und digitale Dienste generiert werden. Erklärtes Ziel ist es, einen fairen, innovativen und wettbewerbsfähigen Datenmarkt in der EU zu schaffen. Der Data Act ergänzt bestehende Regelwerke wie die Datenschutz-Grundverordnung (DSGVO) und zielt darauf ab, die Kontrolle über Daten zu verbessern – sowohl für Nutzer als auch für Unternehmen.

Im Gegensatz zur DSGVO, die sich primär auf den Schutz personenbezogener Daten konzentriert (z. B. Namen, Adressen oder Gesundheitsdaten), fokussiert der Data Act hauptsächlich auf nicht-personenbezogene Daten, etwa Maschinendaten von IoT-Geräten (‚Internet of Things‘) oder industrielle Sensordaten. Beispiele sind Betriebsdaten einer smarten Landmaschine oder Nutzungsstatistiken eines vernetzten Gebäudes. Sollten jedoch personenbezogene Daten betroffen sein – etwa wenn ein Smart-Home-Gerät Bewegungsprofile eines Nutzers erfasst –, greift die DSGVO weiterhin uneingeschränkt, und der Data Act stellt sicher, dass diese Regeln eingehalten werden. Diese Abgrenzung ist entscheidend, da sie bestimmt, welche rechtlichen Anforderungen Unternehmen erfüllen müssen.

Konkret legt der Data Act fest, dass Nutzer (Privatpersonen, Unternehmen oder öffentliche Stellen) Zugang zu den Daten erhalten, die durch die Nutzung von vernetzten Produkten (z. B. Smart Home-Geräte, Industrieanlagen) oder Dienstleistungen (z. B. Cloud-Dienste) entstehen. Unternehmen, die solche Produkte oder Dienste anbieten, müssen diese Daten unter bestimmten Bedingungen bereitstellen und teilen, etwa mit Nutzern oder Dritten wie Reparaturwerkstätten. Der Data Act fördert zudem den Wechsel zwischen Cloud-Diensten, indem er Anbieter verpflichtet, den Datentransfer zu erleichtern.

Für Mecklenburg-Vorpommern, eine Region mit einer wachsenden Digitalwirtschaft und vielen KMU, bedeutet dies neue Möglichkeiten, aber auch Herausforderungen. Unternehmen, die IoT-Produkte herstellen oder digitale Dienste nutzen, müssen ihre Geschäftsmodelle und Prozesse an die neuen Anforderungen anpassen.

EU Data Act: Was sind Standard Contractual Clauses (SCC) und Model Contractual Terms (MCT)?

Die Begriffe Standard Contractual Clauses (SCC) und Model Contractual Terms (MCT) spielen eine zentrale Rolle beim Data Act, da sie Unternehmen dabei helfen sollen, die neuen Anforderungen vertraglich umzusetzen.

• Standard Contractual Clauses (SCC): SCC sind standardisierte Vertragsklauseln, die von der Europäischen Kommission entwickelt werden, um den rechtlichen Anforderungen beim Datenaustausch, insbesondere bei Cloud-Diensten, gerecht zu werden. Im Kontext des Data Act beziehen sich SCC vor allem auf Verträge für den Wechsel zwischen Cloud-Diensten oder die Nutzung von Datenverarbeitungsdiensten. Sie sollen sicherstellen, dass Anbieter faire Bedingungen bieten, etwa beim Datenzugriff oder bei der Beendigung von Verträgen, und dass keine Abhängigkeiten (sog. „Lock-in-Effekte“) entstehen. SCC sind besonders wichtig für Unternehmen, die Cloud- oder Rechenzentrumsdienste nutzen, da sie klare Regeln für den Datentransfer und die Interoperabilität schaffen.
• Model Contractual Terms (MCT): MCT sind empfohlene, nicht verpflichtende Vertragsvorlagen, die die Europäische Kommission bereitstellt, um den Datenzugang und die Datennutzung zu erleichtern. Anders als SCC, die speziell für Cloud-Dienste gelten, decken MCT ein breiteres Spektrum ab, etwa bilaterale oder multilaterale Vereinbarungen zum Datenaustausch. Sie sollen insbesondere KMU unterstützen, die oft nicht die Ressourcen haben, komplexe Verträge selbst zu erstellen. MCT bieten eine Grundlage für faire Verhandlungen, etwa über die Vergütung für Datenzugriff oder die Nutzung von Daten in Datenräumen (Data Spaces).

Beide Instrumente zielen darauf ab, die Umsetzung des Data Act zu vereinfachen, indem sie standardisierte und rechtssichere Vertragsbedingungen bereitstellen. Für Unternehmen in Mecklenburg-Vorpommern bieten sie eine Orientierungshilfe, um die neuen Regeln effizient umzusetzen, ohne rechtliche Risiken einzugehen.

Auswirkungen auf Unternehmen in Mecklenburg-Vorpommern

Der EU Data Act hat weitreichende Konsequenzen für Unternehmen und Organisationen in Mecklenburg-Vorpommern. Die Auswirkungen lassen sich in mehrere Bereiche unterteilen:

1. Neue Verpflichtungen für Dateninhaber: Unternehmen, die vernetzte Produkte oder digitale Dienste anbieten, müssen Nutzern Zugang zu den generierten Daten gewähren. Dies betrifft vor allem nicht-personenbezogene Daten, wie Betriebsdaten von Maschinen in der Landwirtschaft oder Industrie. Für KMU in Mecklenburg-Vorpommern, die oft begrenzte Ressourcen haben, kann dies hohe Anfangsinvestitionen in IT-Infrastruktur oder Beratung erfordern, um Daten in einem nutzbaren Format bereitzustellen.
2. Förderung von Innovation und Wettbewerb: Der Data Act eröffnet Unternehmen neue Möglichkeiten, indem sie auf nicht-personenbezogene Daten zugreifen können, die zuvor proprietär waren. Ein Start-up in Schwerin könnte beispielsweise Maschinendaten nutzen, um neue Dienstleistungen wie prädiktive Wartung anzubieten. Gleichzeitig steigt der Wettbewerbsdruck, da auch andere Akteure auf diese Daten zugreifen können.
3. Erleichterter Anbieterwechsel bei Cloud-Diensten: Viele Unternehmen in Mecklenburg-Vorpommern nutzen Cloud-Lösungen für ihre Geschäftsprozesse. Der Data Act verpflichtet Cloud-Anbieter, den Wechsel zu anderen Anbietern zu vereinfachen, etwa durch transparente Kostenstrukturen und standardisierte Schnittstellen. SCC spielen hier eine Schlüsselrolle, da sie vertragliche Sicherheit bieten. Dies ist besonders für KMU vorteilhaft, die oft an einen Anbieter gebunden sind und hohe Wechselkosten fürchten.
4. Vertragsgestaltung und rechtliche Sicherheit: Die Bereitstellung von SCC und MCT erleichtert die Vertragsgestaltung, insbesondere für Unternehmen ohne eigene Rechtsabteilung. Ein Handwerksbetrieb in Rostock, der Daten mit Zulieferern teilt, kann auf MCT zurückgreifen, um faire Vereinbarungen zu treffen, ohne teure Rechtsberatung in Anspruch zu nehmen. Dennoch müssen Unternehmen sicherstellen, dass ihre Verträge den Anforderungen des Data Act entsprechen, was Schulungen oder externe Unterstützung erfordern kann.
5. Abgrenzung und Kompatibilität mit der DSGVO: Während der Data Act sich auf nicht-personenbezogene Daten konzentriert, müssen Unternehmen sicherstellen, dass sie die DSGVO einhalten, sobald personenbezogene Daten betroffen sind. Dies ist besonders relevant für Organisationen im Gesundheits- oder Sozialwesen in Mecklenburg-Vorpommern, die sensible Daten verarbeiten, aber auch für Unternehmen, die IoT-Geräte anbieten, die potenziell personenbezogene Daten erfassen (z. B. Nutzungsprofile von Smart-Home-Geräten). Eine klare Datenkategorisierung ist erforderlich, um rechtliche Risiken wie Bußgelder zu vermeiden. Unternehmen müssen ihre Datenflüsse analysieren, um festzustellen, welche Daten unter den Data Act und welche unter die DSGVO fallen.
6. Herausforderungen für KMU: Während der Data Act Innovation fördern soll, stellt er insbesondere für kleinere Unternehmen eine Herausforderung dar. Die Umsetzung erfordert technisches Know-how, finanzielle Ressourcen und rechtliche Expertise, insbesondere um die Schnittstelle zwischen Data Act und DSGVO zu managen. Ohne Unterstützung könnten KMU Schwierigkeiten haben, die Anforderungen fristgerecht zu erfüllen. Hier könnten regionale Initiativen, wie die Wirtschaftsförderung Mecklenburg-Vorpommern oder Digitalisierungszentren, eine wichtige Rolle spielen.

Fazit und Handlungsempfehlungen

Der EU Data Act bietet Chancen für Unternehmen und Organisationen in Mecklenburg-Vorpommern, etwa durch neuen Datenzugang oder erleichterte Cloud-Wechsel, bringt aber auch Verpflichtungen mit sich, die sorgfältige Vorbereitung erfordern. SCC und MCT sind wertvolle Werkzeuge, um die vertraglichen Anforderungen effizient und rechtssicher zu erfüllen.

Um sich vorzubereiten, sollten Unternehmen folgende Schritte unternehmen:

• Bestandsaufnahme: Prüfen Sie, welche Produkte oder Dienste Daten generieren und ob diese personenbezogen (DSGVO) oder nicht-personenbezogen (Data Act) sind.
• Schulungen: Sensibilisieren Sie Ihre Mitarbeiter für die neuen Anforderungen, insbesondere im Hinblick auf die Unterschiede zwischen Data Act und DSGVO.
• Technische Umsetzung: Investieren Sie in Systeme, die den Datenzugang ermöglichen, etwa durch standardisierte Schnittstellen.
• Nutzung von SCC und MCT: Machen Sie sich mit den Vorlagen der Europäischen Kommission vertraut, um Verträge effizient zu gestalten.
• Externe Unterstützung: Ziehen Sie Beratung durch lokale Digitalisierungszentren oder Rechtsberater in Betracht, um Ressourcenengpässe zu vermeiden.

Die Experten von Datenschutz Nordost stehen gerne mit kompetentem Rat zur Unterstützung bereit, damit Sie die neuen Regeln meistern und von den neuen Möglichkeiten der Datenwirtschaft profitieren können. Sprechen Sie uns an!